Datenklau - Werbefirmen extrahieren E-Mail-Adressen aus Login-Managern

Sicherheitsforscher haben festgestellt, dass Werbefirmen über spezielle Tracking-Skripte E-mail-Adressen aus Login-Managern filtern und speichern.

von Sara Petzold,
04.01.2018 17:14 Uhr

Auch in Login-Managern sind Daten aktuell nicht mehr sicher.Auch in Login-Managern sind Daten aktuell nicht mehr sicher.

Eine E-Mail-Adresse in Kombination mit einem Passwort eingeben, um Zugriff auf einen bestimmten Account zu erhalten – dieses Vorgehen ist im Internet Alltag. Weil es aber ziemlich mühsam wäre, jedes Mal unsere Daten neu eingeben zu müssen, besitzen aktuelle Browser häufig einen Login-Manager, der unsere Daten speichert. So können wir uns beim nächsten Besuch auf Knopfdruck einloggen.

Wirklich sicher ist die ganze Sache aber offenbar nicht: Denn wie Heise berichtet, haben Forscher der Princeton Universität herausgefunden, dass einige Werbefirmen offenbar Tracking-Skripte nutzen, um die im Login-Manager gespeicherten E-Mail-Adressen auszulesen – allerdings nicht im Klartext, sondern in Form eines MD5-Hashwerts.

Autofill führt zu Datenklau

Das Auslesen funktioniert laut Aussage der Forscher folgendermaßen: Der Nutzer gibt seine Daten zum Login auf einer beliebigen Webseite ein und klickt dann im entsprechenden Browser-Fenster auf Speichern, damit der Login-Manager sich die Daten merkt. Besucht der Nutzer anschließend Inhalte derselben Webseite ohne Login-Eingabe-Fenster, erzeugt das jetzt vorhandene Tracking-Skript ein für den Nutzer unsichtbares Login-Formular.

Wenn der Login-Manager die Nutzerdaten per Autofill-Funktion in das Formular eingibt, speichert das Skript den Hashwert der E-Mail-Adresse. Die Funktionsweise lässt sich auf einer Demo-Webseite der Forscher nachvollziehen.

Dabei geht es laut den Forschern und dem Bericht von Heise nicht darum, die Login-Daten zu erhalten oder die E-Mail-Adressen zu Spam-Zwecken zu missbrauchen, sondern um eine versteckte Form des Trackings, die Cookies unnötig macht.

Phishing-Versuche mit ähnlichen Methoden gab es bereits in der Vergangenheit, wie etwa die im Januar 2017 vom finnischen Webentwickler Viljami Kuosmanen aufgedeckten Fälle. Ähnlich wie hier empfehlen die Forscher auch in Bezug auf das Tracking-Skript die Deaktivierung von Autofill im Browser, um dem Vorgehen einen Riegel vorzuschieben.


Kommentare(27)

Nur angemeldete Benutzer können kommentieren und bewerten.

Sponsored

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen